Konfighölle Squid3 + Radius + CP?
-
Hallo,
folgendes Szenario:
Alles läuft über eine Box (Alix2d13) auf der Läuft jetzt die pfSense 2.2.6 nanobsd.Ich gebe an meine Gäste Loginname und Passwort gegen eine Einverständniserklärung raus, die mein Vorhaben legitimiert. Via Radius Login am Accesspoint können die Gäste ohne weitere Konfiguration ins Internet. (Soweit funktioniert es) Ich verwalte die Nutzer über den Radius Dienst.
Ich will den gesamten Traffic über einen Proxy(squid3) jagen und jeden Zugriff mit Uhrzeit, Nutzername und Zieladresse loggen. Es geht vor allem darum Abmahnungen bei Filesharing abzuwehren oder den Schuldigen ausfindig zu machen. Diese Daten zu erheben verstößt gegen Persönlichkeitsrechte, daher die Einverständniserklärung. Die Logfiles werden nach einem Jahr automatisch gelöscht. Die Nutzernamen sind mir bekannt, welche Person genau diesen dann bekommt sehe ich nicht, das machen die Ferienwohnungsvermieter.
Radius läuft (bei Windows 10 musste ich einen Registryeintrag hinzufügen…). Ich komme dann sofort ins Internet und der Proxy schneidet nichts mit. Wenn ich den auf Transparent schalte loggt er zwar, allerdings steht kein Nutzername im log.
Wie muss ich squid konfigurieren und was muss ich beim Radius noch einstellen? Vor allem, da jetzt der Client auf der selben Maschine ist bin ich komplett verwirrt. Ich habe 3 Schnittstellen am Gerät, WAN, LAN und OPT1. Der squid soll von LAN und OPT1 aus alles loggen, aber nur, wenn auch ein Benutzer authentifiziert ist. Sonst soll der nichts ins Internet lassen.
Ich habe auch schon an ein Captive Portal gedacht, aber da stellt sich das logging-problem aufs neue.
Ich hoffe jemand weiß Rat.
Mit freundlichen Grüßen
Achenar -
Huhu, nur falls es noch jemanden interessiert.
In der /var/squid/logs/access.log Datei gibt es die IP + Webseiten
In der /var/logs/dhcpd.log gibt es die IP + MAC Adresse
In der /var/logs/radius.log gibt es die MAC Adresse + Login Name.Ich schreibe jetzt einfach per cron jede Nacht alle 3 Dateien in einen Ordner mit dem Datum als Name. Das ist nicht so schön wie ichs gern hätte, dafür erstmal anonymer.
Kann geschlossen werden.